制造商基本上依靠IT来完成所有的运营活动,从开票和材料流程,到成品出货。这些操作数据提供给用于财务报告的系统和应用程序。确定遵守萨班斯-奥克斯利法案需要哪些IT控制并不容易。为了安全起见,公司和外部审计人员通常在实施和测试内部控制时应用非常广泛的范围。
为了回应对这些工作的成本和复杂性提出的担忧,上市公司会计监督委员会(PCAOB)于2006年12月发布了对第2号审计准则的修订建议。此次修订进一步完善了PCAOB在2005年倡导的自上而下、基于风险的方法。
除其他事项外,修订后的指南建议使用“合理的可能性”而不是“超过极小的可能性”作为确定是否存在错报可能性的阈值。它还从物质缺陷定义中消除了“重大缺陷”,并确定了“重大”作为识别控制缺陷的标准,而不是“超过无关紧要”。
修订后的指导意见已于2007年2月底提交给美国证券交易委员会(SEC)进行最终审查。在获得批准之前,企业可以缩小内部控制评估的范围,并将更多注意力放在重大风险上。其他最近的指南提供了将该方法应用于IT控制的见解。
应用指导
2006年9月,IT治理协会(ITGA)发布了它的《萨班斯-奥克斯利指南的IT控制目标》。的
步态方法是基于四个原则,包括应用自顶向下的,基于风险的方法对IT一般控制过程;识别影响重要财务应用程序和相关数据关键功能的IT一般控制流程;评估流程和各个IT层中存在的一般控制流程风险;并通过实现IT控制目标而不是单个控制来减轻IT总体控制风险。
总的来说,ITGA和步态指南为将遵从性工作集中在直接影响财务报告的IT单元上提供了方向。例如,操作系统传输重要的财务数据并驱动关键的财务报告应用程序。与这些操作系统相关的各种职责必须分开。提供重要财务数据的存货、采购和其他周期的用户准备金也必须反映明确的职责划分。
密码、不活动时的自动注销和其他访问控制可以防止不正确的应用程序配置,以及对关键数据或重要应用程序的未经授权的访问。关键应用程序需要这样的控制。
用于输入采购订单、应收账款、发票和应付账款的应用程序和数据条目通常是链接的,在一个应用程序中进行的条目会自动更新相应的文件。这种自动化控制需要定期审查,以确保准确性和适当的配置。手动控制需要更频繁的测试。
关键报告,例如那些用于启动重要事务或检查过去事务准确性的报告,通常是由it生成的。同样,必须测试此类IT功能的准确性和正确配置。
变更管理策略需要关注相关硬件、操作系统和关键应用程序。这些政策应处理以下变更过程步骤:请求、批准、配置、测试、验收和生产。
为了减轻当前和未来的法规遵从风险,公司解决了IT不兼容问题,从遗留系统迁移到更新的技术,并改进了整个组织的相关流程。这促进了更高的效率和生产力,并提高了财务报告的准确性。有了更明确定义的与it相关的萨班斯-奥克斯利控制范围,制造商就可以不断地实现这些好处,同时也降低了遵从性成本。
Alyssa G. Martin报道,注册会计师,工商管理硕士,agmartin@weaverandtidwell.com,他是韦弗和蒂德威尔律师事务所(Weaver and Tidwell LLP)风险咨询服务部门的负责人
![Mps035 Sm 1200x628d [2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
